web-dev-qa-db-ja.com

DHCPからDNSを常に更新することの欠点はありますか?

DNSサーバーとDHCPサーバーを実行しているWindows 2012ドメインコントローラーがあります。デフォルト設定は、DHCPクライアントから要求された場合のみDNS AおよびPTRレコードを動的に更新するように表示されます

(これはScope Properties-> DNS

DNS AとPTRレコードを常に動的に更新するには欠点がありますか?

それと更新を要求しないDHCPクライアント(たとえば、Windows NT 4.0を実行しているクライアント)のDNS AレコードとPTRレコードを動的に更新することの違いは何ですか

domain-name-systemwindows-server-2012dhcp
13
Roger Lipscombe

[DNS AおよびPTRレコードを常に動的に更新する]を選択することの欠点はありますか?

何をしたいかによります。

デフォルトでは、Windowsマシンは直接DNSと通信して独自のAレコードを更新し、DHCPにPTRレコードの更新を要求します。

有効にすることで常に動的にDNS AおよびPTRレコードを更新するクライアントがPTRの更新のみを要求した場合でも、両方のレコードを更新するようDHCPに指示しています。

それと「更新を要求しないDHCPクライアントの場合」の違いは何ですか?

最近のNT 4.0の例はそれほど重要ではないので、WindowsクライアントとMac(またはLinux)クライアントがある混合環境を検討してください。

Windowsマシンは動的DNS更新を処理します(またはDHCPに要求します)。

しかし、Mac/Linuxクライアントはそうではありません。このオプションにより、DHCPは動的DNS更新を要求しない、または要求できないこれらのマシンのレコードを作成できます。

考慮すべき事項:

  • DHCPが動的DNS更新に使用する専用の非特権ADユーザーアカウントを作成し、それをDnsUpdateProxyグループに追加する必要があります(これは、DHCPがドメインコントローラーで実行されている場合に特に重要です)。
  • DHCPは、予約を設定した場合でも、常にクライアントから報告された名前を登録します。予約で設定した名前と異なる名前がクライアントから報告された場合、予約の名前は上書きされます。
  • DHCPを介して設定された動的DNSレコードには、タイムスタンプが設定されます。 DHCPを設定してリースが期限切れになったときにレコードを削除するように設定している場合でも、これらのレコードを削除するようにDNS清掃を適切に設定する必要があります(これをオンにしておくのは良いことですが、これが起こらない場合が多くあります)。
8
briantist

DnsUpdateProxyグループの使用に関しては、動的DNS更新ユーザーではなく、DHCPサーバーのみがそのグループのメンバーであるべきだと私は理解しています。ユーザーアカウントは、DnsUpdateProxyグループではなく、DHCPサーバー構成に追加されることになっています。

DnsUpdateProxyグループはDNSクライアント用です。ユーザーはクライアントではなく、安全な更新のみがオンになっている場合に、クライアント(DHCPサーバー)がDNSに動的更新を行うために使用するメカニズムです。クライアントはDHCPサーバーのままです。

https://docs.Microsoft.com/en-us/windows/security/identity-protection/access-control/active-directory-security-groups#bkmk-dnsupdateproxy

DHCPサーバーがDC上にある場合、サーバーをグループのメンバーにし、ユーザーをDHCP構成に追加することに加えて、OpenACLOnProxyUpdatesをオフに設定する必要もあります。 DnsUpdateProxyグループのメンバーシップはDNSレコードに対する権限が多すぎるため、脆弱性を追加することになります。

一部の思想家は、DCのDHCPはDnsUpdateProxyのメンバーであってはならず、DNS更新ユーザーのみがDHCPに割り当てられている必要があることを示唆しています。これは、古いWindows Serverに当てはまる可能性がありますが、2012R2および後で、技術ドキュメントから私が持っている意味は、サーバーはDnsUpdateProxyグループにあるべきだということですが、DCであるため、そのグループメンバーシップの権限により脆弱性が開かれます。

したがって、DCにDHCPがあり、安全な動的DNS更新が有効になっている場合は、DHCPを実行しているDCでこのコマンドを実行する必要があるため、 DNSは、DHCPが所有するレコードを変更するための「外部」更新を許可しません。

dnscmd/config/OpenAclOnProxyUpdates 0

結論-DnsUpdateProxyグループはユーザーオブジェクト用ではありません-DHCPサーバーオブジェクト(DHCPクライアント)にのみ使用する必要があり、主に非DCサーバー上にDHCPサーバーを配置する「ベストプラクティス」を目的としています。 DNSを動的に更新するために必要な権限を付与します。安全な更新ユーザーをそのグループに追加しても意味がありません。

0
JimS